更新的 HijackLoader 使用 PNG 图像绕过防病毒软件

著名的天堂之门技术打开了恶意软件世界的大门。

最近，网络安全专家注意到 HijackLoader 恶意软件的新版本，其中包含改进的反分析技术。这使得恶意软件能够在受感染的网络上长时间不被检测到。

Zscaler 的研究人员在他们的技术报告中表示，新功能旨在提高恶意软件的隐蔽性。因此，HijackLoader（也称为IDAT Loader）现在可以为Windows Defender Antivirus添加例外，绕过用户帐户控制（UAC），避免防病毒程序经常使用API​​拦截进行检测，并且还可以使用“Process Hollowing”技术。

Zscaler 技术报告 “工艺镂空”

HijackLoader 于 2023 年 9 月首次被发现，已被用于分发各种恶意软件系列，包括 Amadey、Lumma Stealer、Meta Stealer、Racoon Stealer V2、Remcos RAT 和 Rhadamanthys。

首次出现

特别值得注意的是最新版本的下载器，它使用解密和分析 PNG 图像的方法来下载下一阶段的恶意软件。 Morphisec 首次在针对芬兰多个站点的活动中描述了该技术。

首先描述 形态学

加载程序的第一阶段负责从 PNG 图像中提取并运行第二阶段，该图像可能嵌入其中或根据恶意软件配置单独下载。为了增加保密性，第二阶段使用额外的技术来对抗同时使用多个不同模块的分析。

该恶意软件最新版本的另一个特点是使用“天堂之门”技术来绕过用户模式锁，CrowdStrike 于 2024 年 2 月报告了这一点。

“天堂之门” 报告 CrowdStrike